论坛 产品库 视频 专题 CIO俱乐部 Windows8 实验室 CMO俱乐部 案例

什么是网络安全审查制度?

发布时间:2014-05-29 08:08:00 来源:论坛 作者:FreebuF
关键字:网络安全 新闻

  5月22日,来自国家互联网信息办公室的消息披露,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。该举措是中国面对网络安全威胁的必然举措。

  为什么要出台此项制度?网络安全的审查范围和标准是什么?这对信息产业和个人信息安全将产生哪些影响?以下,FB小编将对这几个疑问进行调查解答。

  首先,网络安全审查制度不针对任何国家和地区,对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁。即将推出的网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产

  品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。

  根据汇总得到的信息,审查对象包括关系国家安全、国家利益、国计民生产品。审查的过程包括事前检测、事中监督以及事后惩处三部分。一些官员透露,对于谁来审查这个问题,将有第三方机构进行检测。

  针对未进入市场的产品,要对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估。

  针对已经进入市场的产品,这些产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。

  那么,美国是如何进行网络安全审查的呢?

  2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算[注]服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还会针对产品和服务提供商。随后,美国等西方国家为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。

  美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响,且其审查没有明确的时间限制。

  美国安全审查的要害之一,是安全审查结果具有强制性。

  美国网络安全审查的内容不局限于技术。美国联邦政府要求,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等,要求企业自己证明产品已经达到了规定的安全强度。

  美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。


比特微信账号
比特微信账号

微信扫一扫
关注Chinabyte

返回首页 长微博 返回顶部